[디지털데일리 이종현기자] 네이버클라우드가 자사의 클라우드 기반 스토리지 서비스 ‘마이박스(MYBOX)’의 통계 자료를 공개하는 와중 개인이 마이박스에 저장한 데이터를 네이버클라우드가 마음대로 들여다본 것 아니냐는 논란이 발생했다.

사태는 19일 네이버클라우드가 연말을 맞아 ‘2022 마이박스 올해 보기 캠페인’을 진행하면서부터 시작됐다. 마이박스 사용자 통계 및 콘텐츠별 사용성을 바탕으로 ‘데이터로 보는 마이박스’, ‘포토로 보는 마이박스’ 등을 공개했는데, 이를 두고 마이박스에 저장된 데이터를 네이버클라우드가 무단으로 이용·공개했다는 의혹이 제기된 것이 발단이다.

통계 자료 속 개인이 촬영한 듯한 사진이 첨부된 것이 논란을 키웠다. 이후 20일경부터 국내 유명 커뮤니티에는 ‘클라우드에 개인적인 사진 올리면 안 되는 이유’ 등의 제목으로 수십개 글이 게재됐다.

게시글은 클라우드에 사진을 올리면 사업자가 무슨 사진인지 다 들여다 본다는 내용이 주를 이뤘다. 대부분 수천 이상의 조회수를, 인기 게시글의 경우 수만건을 기록했다. ‘클라우드를 쓰면 안 된다’, ‘네트워크 연결 스토리지(NAS)를 사용해라’ 등의 댓글이 달렸다.

그러나 데이터를 들여다본다는 의혹 역시 사실이 아니다. 이벤트에 사용된 사진은 마이박스 팀이 직접 촬영한 예시 사진이다.

통계는 사진의 메타데이터 포맷(EXIF)이 활용됐다. 이미지 파일에는 언제, 어디서 촬영(생성)됐는지 등의 데이터가 포함돼 있다. 촬영일과 위치정보, 카메라 설정 등의 내용이 담긴다. 네이버클라우드는 개인을 식별할 수 있는 내용을 모두 제거하고, EXIF를 기반으로 통계를 만들었다. 이 과정은 시스템을 통해 수행된다.

네이버클라우드 측은 해당 논란에 대해 “마이박스에 보관된 파일을 직원이 직접 열람할 수 있는 사내 시스템은 없다. 인프라 시스템 유지·보수 경우에도 최소한의 인원만을 담당자로 지정하며, 모든 업무 처리 내역을 기록하고 있고, 해당 업무 처리 내역을 상시로 모니터링 중”이라며 “이용자분께 불안감을 드려 죄송하다. 향후 이벤트 활동에 있어 좀 더 신중을 기할 수 있도록 노력하겠다”고 입장을 밝혔다.

사업자의 일방적 주장을 어떻게 믿냐는 주장도 제기되는데, 업계에서는 이런 우려를 불식시키기 위해 제3의 기관에게 평가받는 인증제도를 이용하고 있다. 한국인터넷진흥원(KISA)이 운영 중인 정보보호 및 개인정보보호 관리체계(ISMS-P) 등이다.

논란의 당사자인 네이버클라우드는 ISMS-P 인증을 받았다. 개인정보보호를 위한 장치가 잘 갖춰져 있음을 공공기관으로부터 심사받았다는 것이다. 이에 더해 미국공인회계사회(AICPA), 국제감사인증기준위원회(IAASB)에서 제정한 인증업무평가기준, SOC(System and Organization Controls) 인증도 받았다. 국내·외에서 검증을 마쳤다.

네이버클라우드는 “네이버클라우드는 제3자로부터 프라이버시 보호의 적정성을 객관적으로 감사받고 있다. 특히 SOC 인증의 경우 마이박스와 같은 개인화 서비스에 특화된 인증으로, 내부 통제 절차 전반에 대해 수개월간의 집중적인 외부 감사를 받아야만 획득할 수 있다. 마이박스는 2012년부터 해당 인증을 받고 결과를 투명하게 공개 중”이라고 설명했다.

그럼에도 숙제는 남는다. 이와 같은 내용을 전했음에도 일각에서는 ‘메타데이터를 봤다는 사실 자체가 문제다. 그게 개인정보가 아니라고 주장하기는 힘들다’, ‘메타데이터로도 개인을 식별할 여지가 있다’ 등의 주장이 제기된다. 개인을 식별하기 어려운 익명정보라 하더라도 이를 기업이 활용하는 것은 잘못됐다는 문제의식인데, 이에 대한 사회적 공감대 형성이 필요할 것으로 보인다.

또 네이버클라우드의 경우 인증을 받았기에 ‘데이터를 들여다 보지 않는다’는 주장에 설득력이 실리지만, 거꾸로 말한다면 이와 같은 인증을 받지 않은 경우 데이터의 안전성을 담보하기 어렵다. ISMS-P는 2019년부터 발급을 시작, 현재 1000건의 인증서가 유지되고 있다. 보는 시각에 따라 많다고도 할 수 있겠으나, 국내에 숱한 온라인 서비스 중 1000개가 충분한 수준인가에 대해서는 생각해볼 여지가 있다.